文件包含漏洞

文件包含漏洞也是一种代码注入，可以出现在JSP，PHP，ASP等语言中，常见的文件包含函数如下：

PHP：include(),include_once(),require(),require_once(),fopen(),readfile()...

JSP/Servlet：ava.io.File(),java.io.FileReader()...

ASP：include file,include virtual ...

利用条件：include()等函数用过动态变量的方式引入需要包含的文件；用户能够控制该动态变量

种类：本地文件包含/远程文件包含(需要allow_url_include是on)

路径编码：. ——> %2e   /——>%2f   \——>%5c